Przedsiębiorca komunikacji elektronicznej jest zobowiązany przeprowadzać systematyczną ocenę ryzyka wystąpienia sytuacji szczególnego zagrożenia (art. 39 ust. 2 pkt 1 Projektu) oraz podejmować środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa adekwatny do poziomu zidentyfikowanego ryzyka (art. 39 ust. 2 pkt 2 Projektu). W Projekcie zapewniony jest mechanizm weryfikacji przez Prezesa UKE realizacji środków technicznych i organizacyjnych o których mowa w art. 39 ust. 2 pkt 2 Projektu, w tym możliwość przeprowadzenia audytu. Ponadto Prezes UKE może nałożyć na przedsiębiorcę dodatkowe środki techniczne i organizacyjne. Minister właściwy do spraw informatyzacji powinien, w drodze rozporządzenia, określić dla danego rodzaju działalności wykonywanej przez przedsiębiorcę minimalny zakres środków wcześniej wskazanych (art. 39 ust. 4 Projektu; „rozporządzenie”).

Powstaje pytanie co powinno zawierać to rozporządzenie. Z pewnością powinno realizować określony model bezpieczeństwa. Opierając się na doświadczeniach także z innych krajów, model ten powinien przewidywać działania, które powinien podjąć przedsiębiorca, a w szczególności:
1) zapewnić certyfikację krytycznych składników infrastruktury;
2) posiadać deklaracje wiarygodności od producentów i dostawców infrastruktury;
3) zapewnić integralność krytycznych składników infrastruktury;
4) prowadzić monitoring bezpieczeństwa;
5) zatrudniać tylko przeszkolonych specjalistów w obszarach związanych z bezpieczeństwem;
6) stosować strategię, która nie powoduje uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej.

Kluczową częścią przedstawianego modelu ochrony infrastruktury jest certyfikacja. Podstawowym celem certyfikacji bezpieczeństwa IT jest niezależna i obiektywna weryfikacja gwarancji bezpieczeństwa. Wraz z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych, wprowadzono jednolite europejskie ramy certyfikacji w zakresie bezpieczeństwa w cyberprzestrzeni, które regulują uznawanie europejskich systemów certyfikacji w zakresie bezpieczeństwa cybernetycznego. Rozporządzenie to obowiązuje także w Polsce co oznacza, że certyfikat przyznany w innym kraju UE obowiązuje w Polsce i odwrotnie. W Polsce trwa obecnie proces wypracowywania krajowych rozwiązań w zakresie certyfikacji.

W rozporządzeniu mógłby się także znaleźć wykaz zawartości deklaracji wiarygodności danego dostawcy lub producenta, który zawierałby przykładowo zobowiązanie producenta lub dostawcy infrastruktury telekomunikacyjnej do współpracy z przedsiębiorcą w zakresie techniki bezpieczeństwa czy gotowości producenta lub dostawcy do wyrażenia zgody i zapewnienia odpowiedniego wsparcia w zakresie kontroli bezpieczeństwa i analiz penetracyjnych jego produktu.
Prezentowany model bezpieczeństwa infrastruktury opiera się więc na badaniu pod względem technicznym bezpieczeństwa infrastruktury, czyli weryfikacji za pomocą mierzalnych technicznych kryteriów. Podejście to zapewnia odpowiedni stopień profesjonalizacji weryfikacji i jej obiektywizm.

prof. dr hab. Maciej Rogalski
Rogalski i Wspólnicy Kancelaria Prawna
Uczelnia Łazarskiego